Технические детали
Троянская программа, устанавливающая другие вредоносные программы и запускающая их на выполнение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на С++.Деструктивная активность
После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\.tmp
Где
Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского, как Backdoor.Win32.Bredavi.arh.
Далее библиотека подгружается в адресное пространство процесса троянской программы и вызывается библиотечная функция "ocqbk".
Троянец запускает процесс "svchost.exe" и подгружает в его адресное пространство извлеченную библиотеку.
Также библиотека сохраняется в системном каталоге Windows под именем "ifmq.kqo":
%System%\ifmq.kqo
Далее для автоматического запуска при следующем старте системы троянец создает ссылку на извлеченную динамическую библиотеку в ключе системного реестра:
"Shell" = "rundll32.exe ifmq.kqo bmhyn"
По завершению своей работы троянец удаляет свое оригинальное тело.
При помощи DLL троянец соединяется с сервером злоумышленника для получения дальнейшего сценария работы:
http://li*****g.org
На момент создания описания сервер не работал.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс запущенный от имени текущего пользователя Windows:
svchost.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\
.tmp
%System%\ifmq.kqo - Изменить значения параметра ключа (системного реестра): [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe" - Произвести полную проверку компьютера антивирусом.
Комментариев нет:
Отправить комментарий